Seis etapas para melhorar a resiliência operacional em serviços financeiros com a Microsoft Cloud 

À medida que a tecnologia impulsiona uma transformação sem precedentes nos serviços financeiros, a resiliência operacional tornou-se uma área de foco cada vez maior para instituições financeiras, reguladores e fornecedores de tecnologia. As instituições estão recorrendo a prestadores de serviços terceirizados para lidar com uma ampla gama de serviços, incluindo operações críticas. Isso proporciona enormes benefícios em inovação, flexibilidade e eficiência, para citar apenas alguns. No entanto, a menos que a utilização de tais serviços possa ser gerida adequadamente, os riscos potenciais para as instituições – bem como os riscos sistêmicos para o ecossistema – podem tornar-se áreas de preocupação. 

É por isso que, apenas nos últimos meses, a indústria assistiu a uma onda de novas propostas e regulamentos no setor dos serviços financeiros, que visam coletivamente melhorar a resiliência operacional e mitigar o risco para que as instituições possam modernizar-se com confiança. Em junho de 2023, o Conselho de Estabilidade Financeira (FSB) – uma organização internacional que monitoriza e faz recomendações sobre o sistema financeiro global – emitiu um documento consultivo intitulado Melhoria da Gestão e Supervisão de Riscos de Terceiros que fornece um kit de ferramentas para reduzir a fragmentação, mitigar os custos de conformidade e facilitar a coordenação entre as partes interessadas. Outros acontecimentos incluem nova legislação relativa à designação e supervisão de fornecedores terceiros críticos na Europa;¹ uma proposta de supervisão regulatória de fornecedores terceirizados críticos no Reino Unido;² e novas orientações para fornecedores terceirizados nos Estados Unidos³ e Canadá.⁴ 

A Microsoft dedica-se a trabalhar em todo o setor, inclusive com instituições, parceiros tecnológicos e reguladores, para garantir a adoção responsável de serviços em nuvem, IA e outras tecnologias emergentes. Também oferecemos um amplo conjunto de recursos de suporte para clientes, incluindo o Programa de conformidade para Microsoft Cloud, um serviço premium de “luvas brancas” criado especificamente para apoiar profissionais de risco e conformidade. 

Melhorar a resiliência operacional em todo o ecossistema de serviços financeiros 

Os recentes acontecimentos regulamentares atravessam continentes e jurisdições e têm amplas implicações na forma como as empresas financeiras adquirem, implementam e gerem uma vasta gama de serviços e tecnologias. Tomadas em conjunto, essas propostas estão centradas nestes cinco pilares: 

1. Implementar fortes controles e práticas de gerenciamento de risco. 

2. Garantir transparência e monitoramento suficientes dos serviços em nuvem. 

3. Gerenciar o risco de concentração. 

4. Desenvolver e testar planos de continuidade de negócios. 

5. Implementar estratégias e planos de saída. 

O conjunto de ferramentas do FSB foi concebido para “reduzir a fragmentação nas abordagens regulamentares e de supervisão entre jurisdições” e “promover a interoperabilidade das abordagens regulamentares e de supervisão”. Acreditamos que isso não é apenas sensato, mas deve ser uma consideração primordial para os reguladores na implementação de seus regimes regulatórios relativos ao risco de terceiros no futuro. 

Um modelo de seis etapas para a resiliência dos serviços financeiros 

À medida que os serviços em nuvem se tornam mais proeminentes, a importância de manter e melhorar a resiliência operacional é fundamental para garantir a segurança e a solidez do ecossistema financeiro. 

Abaixo está o processo de seis etapas que aconselhamos as empresas a seguir para atender aos requisitos regulatórios no gerenciamento de risco de terceiros e na resiliência operacional. 

1. Atualizar a governança de risco na nuvem 

As empresas precisam se concentrar em “serviços críticos” e adotar “uma abordagem holística e baseada em riscos para o gerenciamento de riscos de terceiros”.⁵ O processo consultivo da Lei de Resiliência Operacional Digital (DORA) da União Europeia também segue esta abordagem em seu projeto Norma Técnica Regulamentadora sobre gestão de riscos de TIC. 
 
Para ajudar as empresas nesse sentido, a Microsoft fornece uma variedade de recursos de serviço para fornecer supervisão e monitoramento contínuos dos serviços em nuvem usados, incluindo Integridade do serviço Microsoft Azure, que fornece uma visão global da saúde de todos os serviços do Azure em todas as regiões; Microsoft Defender para Nuvem, que fornece uma pontuação segura que avalia a postura e as configurações de segurança de uma empresa; e Gerente de Conformidade do Microsoft Purview, que avalia e gerencia a conformidade em ambientes multinuvem. 

2. Identificar concentração 

As empresas devem identificar onde os serviços críticos estão sendo prestados por um único prestador de serviços de forma a criar um nível de dependência tão elevado que problemas como indisponibilidade, falhas ou outras deficiências possam ameaçar a capacidade da empresa de prestar suas próprias funções importantes. Isto deve ser feito antes da celebração de acordos contratuais, e as avaliações devem incluir se o serviço de um fornecedor pode ser substituído e quais poderão ser os benefícios e custos de soluções alternativas.⁶ 

3. Avalie alternativas 

Pode nem sempre ser apropriado ou viável trazer de volta um serviço crítico internamente ou estabelecer uma abordagem de vários fornecedores. As alternativas devem ser ponderadas em relação a potenciais inconvenientes, consequências não intencionais e riscos.⁷ Observe que, em cenários que dependem da Microsoft como fornecedor terceirizado, a concentração de serviços pode ser abordada usando regiões e zonas de disponibilidade do Azure. As empresas devem documentar quais alternativas são viáveis ​​e se enquadram na tolerância ao risco da sua organização. 

4. Design para resiliência 

Ao delinear alternativas, é importante reconhecer que nem sempre é viável ou desejável incorporar uma ampla gama de soluções potenciais. Uma abordagem de nuvem única, ao considerar todos os fatores, pode acabar oferecendo uma solução geral mais resiliente. Além disso, pode evitar as armadilhas da complexidade inerente e adicional ao implementar ambientes multinuvem. 

5 e 6. Testar o plano de continuidade de negócios e preparar planos de saída 

Alguns dos cenários de ameaças mais extremos devem ser totalmente considerados, incluindo desafios como a perda de um datacenter ou o término de todo um relacionamento com o fornecedor. A melhor maneira de conseguir isso é focar no gerenciamento de continuidade de negócios (BCM), nos testes e no planejamento de saída. 

Promover a interoperabilidade com regulamentação tecnologicamente neutra e baseada em princípios 

Como o próprio mercado está interligado e tem um âmbito global, um dos desafios tanto para as empresas como para os fornecedores de tecnologia é como abordar uma miríade de requisitos regulamentares em todas as jurisdições. A aplicação de uma abordagem baseada em princípios permitirá que os reguladores e a indústria se adaptem às tecnologias inovadoras no futuro. Na verdade, o FSB observa que “a interoperabilidade das abordagens regulamentares e de supervisão no setor de serviços financeiros é particularmente importante para as instituições financeiras sujeitas a múltiplos quadros regulamentares e de supervisão nacionais ou regionais”.⁸ 

Num mundo globalmente conectado, essas abordagens abrangentes podem não só gerar sinergias, mas também melhorar a supervisão regulamentar e abordar os riscos de forma coerente e eficaz. Apoiamos a recomendação do FSB de que “os exercícios multissetoriais e que englobam todo o setor financeiro podem ser uma forma valiosa de explorar e melhorar a capacidade coletiva do ecossistema de serviços financeiros para responder e se recuperar de perturbações”.⁹ Isso pode acelerar a convergência de normas globais sólidas que melhorarão a resiliência global, ao mesmo tempo em que minimiza a necessidade de sobreposição de regulamentações regionais. 

O futuro da supervisão regulatória 

Dada a natureza padronizada da nuvem, acreditamos que a cooperação regulatória beneficiará tanto as instituições financeiras, os reguladores e os fornecedores de nuvem. Esperamos apoiar esse diálogo, a fim de facilitar abordagens comuns e alinhamento no lado regulatório, e acolhemos com satisfação novas ideias sobre como alcançar o objetivo de gerir riscos e apoiar a inovação responsável para o setor. 

Para saber mais sobre como a Microsoft está contribuindo para os esforços de melhoria da resiliência, leia nosso whitepaper, “Reforçar a resiliência operacional nos serviços financeiros” e visite nosso Portal de confiança de serviço. Conforme observado, para obter ajuda personalizada na avaliação de riscos e no cumprimento dos requisitos de conformidade regulatória, oferecemos o Programa de conformidade para Microsoft Cloud, que inclui conexões com especialistas no assunto e recursos detalhados. E fique ligado neste blog para obter mais atualizações sobre risco, conformidade e serviços em nuvem nos próximos meses. 

Programa de conformidade para Microsoft Cloud 

Acelere sua adoção da nuvem. 

Saiba mais  

¹ A Lei de Resiliência Operacional Digital (DORA). 

² Banco de Inglaterra, DP3/22 – Resiliência operacional: terceiros críticos para o setor financeiro do Reino Unido, julho de 2022. 

³ Tesouro dos Estados Unidos, Relatório sobre Computação em Nuvem – Orientação Interagências sobre Relacionamentos com Terceiros, junho de 2023. 

⁴ Governo do Canadá, Diretrizes de Gestão de Riscos de Terceiros, abril de 2023. 

⁵ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seções 2.1, 2.2, junho de 2023. 

⁶ A Lei de Resiliência Operacional Digital (DORA), artigos 28, 29. 

⁷ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seção 3.8.2, junho de 2023. 

⁸ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seção 2.2, junho de 2023. 

⁹ Conselho de Estabilidade Financeira, Melhoria da Gestão e Supervisão de Riscos de Terceiros, Seção 4.3.4, junho de 2023.